Near Field Communication Wie NFC beim Schutz von Apps helfen kann

Autor / Redakteur: Oliver Schonschek* / Stephan Augsten

Nicht nur der Zugang zum Smartphone muss besser geschützt werden, auch der Zugriff auf bestimmte Apps. NFC-Token können dabei helfen. Near Field Communication hat jedoch ihre Stärken und Schwächen, dessen sollte man sich bewusst sein.

Firmen zum Thema

Auf dem 14. Deutschen IT-Sicherheitskongress stellte Sebastian Hönig von Hewlett-Packard Deutschland das Projekt NFCrypt vor.
Auf dem 14. Deutschen IT-Sicherheitskongress stellte Sebastian Hönig von Hewlett-Packard Deutschland das Projekt NFCrypt vor.
(Bild: Oliver Schonschek)

Mehr als 20 verschiedene Apps installiert der durchschnittliche Nutzer auf seinem Smartphone. Bekanntlich bilden diese Apps in den meisten Fällen eine Mischung aus beruflichen und privaten Anwendungen, aus Sicht der IT-Sicherheit ein gefährlicher „Cocktail“: Sobald Zugang zu dem Smartphone besteht, sind auch die Apps im Zugriff, ganz gleich, ob diese nun privater oder dienstlicher Natur sind.

Viele Anstrengungen werden unternommen, insbesondere im Fall von BYOD (Bring Your Own Device), um berufliche und private Anwendungen zu separieren. Eine Möglichkeit besteht darin, für einzelne Apps Passwörter zu vergeben oder aber einen anderen Sicherheitsfaktor zu verlangen, wie zum Beispiel den Besitz eines Hardware-Tokens.

Bildergalerie

Im Fall von Smartphones bietet sich für die Zwei-Faktor-Authentifizierung ein NFC-Chip an, also ein Token, der über Near Field Communication mit dem NFC-fähigen Smartphone kommuniziert. Nur wenn der passende NFC-Token in der Nähe des Smartphones ist und das Passwort stimmt, wird der Zugriff auf bestimmte Apps erlaubt.

NFC als Sicherheits- und Risikofaktor zugleich

Near Field Communication erfreut sich gegenwärtig überhaupt großer Beliebtheit. Man denke nur an das mobile Bezahlen, an Apple Pay, das neue Android Pay oder den Postbank-Worldline-Piloten. Doch NFC hat noch viele andere mobile Einsatzformen.

NFC-Tags werden genutzt, um zum Beispiel Smartphone-Konfigurationen gezielt zu aktivieren, also um beispielsweise am Schreibtisch automatisch WLAN zu aktivieren, anstatt weiterhin das mobile Datenvolumen zu belasten. Oder die Übergabe von Geldtaschen kann dokumentiert und nachverfolgt werden, indem NFC-Tags auf den Taschen angebracht werden und der Empfänger jeweils über sein Smartphone quittiert.

Die Einsatzmöglichkeiten von NFC-Tags sind vielfältig, die Risiken allerdings auch: Lauschangriffe auf die unverschlüsselte NFC-Verbindungen, die Manipulation der Daten auf NFC-Tags und die Täuschung mit gefälschten NFC-Tags gehören dazu. Auch Malware kann es auf die NFC-Verbindung abgesehen haben, wie kürzlich demonstriert wurde.

Smartphones und Apps per NFC entsperren

Die Idee, NFC-Tags auch für die Zugangs- und Zugriffskontrolle bei Smartphones zu nutzen, ist nicht ganz neu, doch es lohnt sich, den Ansatz weiter zu verfolgen. So wurde kürzlich auf dem 14. Deutschen IT-Sicherheitskongress das Projekt NFCrypt vorgestellt. Bei NFCrypt dient ein NFC-Tag zur verschlüsselten Hinterlegung eines digitalen Schlüssels. Damit sollen sich sowohl Daten ver- und entschlüsseln als auch Apps entsperren lassen. Zusätzlich zu dem NFC-Tag kann ein Passwort eingesetzt werden, eine Drei-Faktor-Authentifizierung soll ebenso möglich werden.

Der auf dem BSI-Kongress diskutierte Prototyp NFCappLock ist allerdings eine Android-App ohne Verschlüsselungsfunktion. Nur der Zugriffsschutz auf definierte Apps ist damit realisiert, indem die zu schützenden Apps nur auf der Smartphone-Oberfläche erscheinen, wenn der passende NFC-Token in der Nähe ist.

Bekannte Beispiele für das Entsperren eines Smartphones oder das Starten bestimmter Apps sind Digital Tattoo und eSkin Tattoo sowie YubiKey NEO. Grundlegend ist die Funktion Smart Lock ab Android 5.0. Damit lassen sich bestimmte NFC-Tags als vertrauenswürdig klassifizieren und zur Entsperrung nutzen, wenn sie sich in der Nähe des Smartphones befinden.

NFC-Sicherheit wird optimiert

Noch ist einiges zu tun, damit NFC-Tags grundsätzlich sicherer werden. Ein wichtiger Schritt ist, dass die Integrität und Echtheit der Daten, die über NFC ausgetauscht werden, überprüft werden kann, um Fälschungs- und Manipulationsversuche enttarnen zu können.

Zu diesem Zweck wurde die technische Spezifikation Signature Record Type Definition (RTD) 2.0 vom NFC Forum veröffentlicht. Auf dieser Basis sollen NFC-Nachrichtenströme signiert werden. Ohne die richtige Signatur sollen dann die gewünschten Berechtigungen nicht erteilt werden, zum Beispiel das Öffnen und Nutzen bestimmter Apps.

NFC kann somit zu der mobilen Zugangs- und Zugriffskontrolle einiges beitragen. Die laufenden Projekte und die neuen Sicherheitsstandards sind vielversprechend. Es lohnt sich, die weitere Entwicklung von NFC-Tags als Sicherheitsfaktor im Auge zu behalten, gerade für eine mobile Zwei-Faktor-Authentifizierung.

* Oliver Schonschek, Dipl.-Phys., ist IT-Fachjournalist und IT-Analyst. Sein Fokus liegt auf Sicherheit und Datenschutz in IT-Bereichen wie Cloud Computing, Mobile Enterprise, Big Data und Social Enterprise.

(ID:43474554)